Biometrische Systeme im EU AI Act – Definition
Im Kontext der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024, also des EU AI Act, sind biometrische Systeme KI-Systeme, die biometrische Daten verarbeiten, um natürliche Personen zu identifizieren, zu verifizieren, zu kategorisieren oder Rückschlüsse auf ihre Emotionen zu ziehen. Dabei verweist der Rechtsakt auf den aus der DSGVO bekannten Begriff der biometrischen Daten, also auf die Verordnung (EU) 2016/679, Art. 4 Nr. 14. In der Praxis geht es bei Fotos und Videoaufnahmen vor allem um die Analyse von Gesicht, Körperbild, Gang, Iris, Fingerabdruck oder anderen Mustern, die es ermöglichen, eine Person von einer anderen zu unterscheiden.
Für den Bereich der Anonymisierung von Fotos und Videos ist die Unterscheidung zwischen einem System zur biometrischen Erkennung und einem System zum Schutz der Privatsphäre entscheidend. Ein Tool, das ein Gesicht erkennt, um es unkenntlich zu machen, muss keine Person identifizieren. Es kann ausschließlich auf der Ebene der Objekterkennung eines Typs wie „Gesicht“ oder „Kfz-Kennzeichen“ arbeiten. Das ist eine wesentliche technische und rechtliche Grenze. Die bloße Erkennung eines Gesichts im Bildausschnitt ist nicht gleichbedeutend mit der Feststellung der Identität einer Person.
Der EU AI Act führt für biometrische Systeme drei zentrale Regelungsregime ein: Verbote für bestimmte Anwendungen, die Einstufung ausgewählter Einsatzfälle als Hochrisiko-KI sowie einen Pflichtenkatalog für Anbieter und Betreiber von KI-Systemen. Praktisch besonders relevant sind Systeme zur biometrischen Fernidentifizierung, Systeme zur biometrischen Kategorisierung und Systeme zur Emotionserkennung. Für Datenschutzbeauftragte bedeutet das, Werkzeuge zur Anonymisierung visueller Inhalte von Tools zu unterscheiden, die Personen anhand von Bildmaterial profilieren, klassifizieren oder identifizieren.
Wie der EU AI Act biometrische Systeme klassifiziert
Der AI Act behandelt nicht alle Anwendungen der Biometrie gleich. Maßgeblich sind der Zweck der Verarbeitung, die Einsatzumgebung und die Frage, ob das System ex post oder auf Live-Bildern arbeitet. Das ist unmittelbar relevant für die Verarbeitung von Videos und Fotos vor der Veröffentlichung, Archivierung oder Weitergabe an Dritte.
Die wichtigsten Gruppen biometrischer Systeme lassen sich wie folgt ordnen:
Systemtyp | Funktionsbeschreibung | Status im EU AI Act | Bedeutung für die Anonymisierung von Fotos und Videos
|
|---|---|---|---|
Biometrische Fernidentifizierung | Abgleich eines biometrischen Musters mit einer Identitätsdatenbank, um festzustellen, wer die Person ist | Grundsätzlich Hochrisiko-System; die Echtzeitnutzung im öffentlich zugänglichen Raum zu Zwecken der Strafverfolgung ist grundsätzlich verboten, mit gesetzlichen Ausnahmen | Für das Unkenntlichmachen von Gesichtern nicht erforderlich |
Biometrische Verifizierung | Bestätigung einer behaupteten Identität im 1:1-Abgleich | Kann je nach Anwendungsfall ein Hochrisiko-System sein | Für die Anonymisierung visuellen Materials nicht erforderlich |
Biometrische Kategorisierung | Zuordnung einer Person zu einer Kategorie anhand biometrischer Merkmale | Teilweise verboten; teilweise unterliegt sie den Anforderungen des AI Act und weiteren rechtlichen Beschränkungen | Sollte kein Bestandteil eines Systems zum Schutz der Privatsphäre sein |
Emotionserkennung | Rückschluss auf einen emotionalen Zustand aus biometrischen Daten | Am Arbeitsplatz und in Bildungseinrichtungen verboten, mit begrenzten Ausnahmen | Für das Unkenntlichmachen von Gesichtern nicht erforderlich |
Gesichtserkennung im Sinne von Face Detection | Erkennung der Anwesenheit eines Gesichts ohne Feststellung der Identität | Grundsätzlich nicht Teil biometrischer Identifizierung, erfordert aber weiterhin eine Prüfung der DSGVO-Konformität | Typische Funktion für die Anonymisierung von Fotos und Videoaufnahmen |
Technisch betrachtet ist das der Unterschied zwischen einer Detection-Aufgabe und einer Identification- oder Verification-Aufgabe. Im ersten Fall lokalisiert das Modell ein Objekt im Bild. Im zweiten Fall erstellt oder vergleicht es eine Merkmalsrepräsentation einer Person, in der Regel als Merkmalsvektor, auch Embedding genannt.
Bedeutung für die Anonymisierung von Fotos und Videoaufnahmen
Bei Systemen zum Schutz der Privatsphäre sollte das Ziel darin bestehen, das zu anonymisierende Element zu erkennen, nicht aber eine konkrete Person wiederzuerkennen. In der Praxis bedeutet das den Einsatz von Computer-Vision-Modellen zur Lokalisierung von Gesichtern und Kfz-Kennzeichen und anschließend die dauerhafte Veränderung des Bildes durch Unschärfe, Pixelierung oder Maskierung.
Für den Aufbau eines solchen Systems wird in der Regel Deep Learning eingesetzt. Das Modell wird mit annotierten Datensätzen trainiert, damit es lernt, Gesichter oder Kfz-Kennzeichen unter unterschiedlichen Bedingungen zu erkennen:
- bei wechselnden Lichtverhältnissen,
- bei teilweiser Verdeckung,
- bei unterschiedlichen Kamerawinkeln,
- bei Standbildern und Videosequenzen.
Nach dem Training kann das Inferenzmodell zur automatischen Erkennung von Objekten verwendet werden, die anonymisiert werden müssen. Für die regulatorische Konformität ist entscheidend, dass eine solche Pipeline keine Funktion zur Personenidentifizierung erzeugt, sofern dies nicht streng gerechtfertigt und rechtmäßig ist. In der Praxis benötigt ein System zur Gesichtsverpixelung keinen Abgleich von Gesichtern mit einer Referenzdatenbank und keine Vergabe einer eindeutigen Identitätskennung.
In einer Umgebung wie Gallio PRO bedeutet das den Einsatz von KI zur automatischen Erkennung von Gesichtern und Kfz-Kennzeichen in Foto- und Videomaterial sowie zu deren Unkenntlichmachung. Nicht umfasst ist die automatische Erkennung von Logos, Tätowierungen, Namensschildern, Dokumenten oder Bildschirminhalten. Diese Elemente können eine manuelle Redaktion im Editor erfordern. Diese Aufgabenteilung verringert den Umfang der Datenverarbeitung und reduziert das Risiko, biometrische Funktionen einzusetzen, die über den Zweck der Anonymisierung hinausgehen.
Verbote und Hochrisiko-Systeme im EU AI Act
Die weitreichendsten Einschränkungen betreffen Anwendungen, die der Unionsgesetzgeber als unzulässig oder besonders eingriffsintensiv eingestuft hat. Für die Compliance-Praxis ist wichtig: Nicht jede Nutzung von Gesichtern in einem KI-System ist verboten, wohl aber bestimmte Zwecke und Einsatzkontexte.
Zu den besonders sensiblen Bereichen gehören:
- biometrische Fernidentifizierung in Echtzeit im öffentlich zugänglichen Raum zu Zwecken der Strafverfolgung – grundsätzlich verboten, mit gesetzlichen Ausnahmen,
- bestimmte Formen der biometrischen Kategorisierung unter Verwendung sensibler Daten,
- Emotionserkennung am Arbeitsplatz und im Bildungsbereich – grundsätzlich verboten, mit begrenzten Ausnahmen,
- Hochrisiko-KI-Systeme in Bereichen wie Beschäftigung, Zugang zu Dienstleistungen, Migration oder Justiz.
Für Unternehmen und Organisationen, die visuelle Inhalte anonymisieren, ist die praktische Schlussfolgerung einfach: Die Funktion zur Gesichtsunschärfe sollte strikt von Identifizierungsfunktionen getrennt sein. Je geringer der Datenumfang und je weniger Operationen an biometrischen Merkmalen vorgenommen werden, desto einfacher ist es, Zweckbindung, Datenminimierung und Verhältnismäßigkeit nachzuweisen.
Pflichten von Anbietern und Nutzern biometrischer Systeme
Wenn ein KI-System als Hochrisiko-System eingestuft wird, legt der AI Act einen Pflichtenkatalog für den Anbieter und den Betreiber fest. Diese Pflichten ergänzen die Anforderungen der DSGVO, ersetzen sie aber nicht. Im Bereich Bild und Video bedeutet das eine parallele technische Bewertung und Datenschutzprüfung.
Zu den grundlegenden Pflichten gehören:
- die Einführung eines Risikomanagementsystems,
- die Sicherstellung einer angemessenen Qualität von Trainings-, Validierungs- und Testdaten,
- die Führung einer technischen Dokumentation,
- die Protokollierung von Ereignissen in dem vom AI Act geforderten Umfang unter Wahrung der Datenminimierung,
- die Gewährleistung menschlicher Aufsicht,
- die Einhaltung von Anforderungen an Genauigkeit, Cybersicherheit und Robustheit,
- die Durchführung eines Konformitätsbewertungsverfahrens vor dem Inverkehrbringen oder der Inbetriebnahme des Systems.
Für Nutzer eines Systems zur Anonymisierung visuellen Materials ist entscheidend zu dokumentieren, dass das Tool ausschließlich der Wahrung der Privatsphäre dient und den Verarbeitungsumfang nicht um biometrische Identifizierung erweitert. In der Praxis helfen dabei technische Richtlinien, Architekturbeschreibungen, Qualitätstests der Erkennung sowie Regeln zur Speicherung und Löschung von Quell- und Ergebnisdateien.
Zentrale Parameter und Metriken biometrischer Systeme und Anonymisierungssysteme
Für die Bewertung eines KI-Systems zur Arbeit mit Fotos und Videos reicht eine bloße Funktionsbeschreibung nicht aus. Erforderlich sind messbare Parameter. Deren Auswahl hängt davon ab, ob das System Personen identifizieren oder lediglich Objekte erkennen soll, die unkenntlich gemacht werden müssen.
Für Detektionssysteme werden am häufigsten verwendet:
- Precision – der Anteil korrekter Erkennungen an allen Erkennungen,
- Recall – der Anteil erkannter Objekte an allen im Material vorhandenen Objekten,
- mAP – die mittlere durchschnittliche Präzision über IoU-Schwellen hinweg, eine typische Metrik für die Objekterkennung,
- IoU – das Maß für die Überlappung zwischen vorhergesagtem und Referenzbereich,
- Latency per Frame – die Verarbeitungszeit pro Frame oder Bild.
Bei Systemen zur biometrischen Identifizierung werden häufiger analysiert:
- FAR – False Accept Rate,
- FRR – False Reject Rate,
- EER – Equal Error Rate,
- ROC und AUC,
- Rank-1-Accuracy oder Recall@k für die Suche in einer Galerie.
In einem System zur Anonymisierung von Fotos und Videos ist ein hoher Detection-Recall wichtiger als ein Identitätsranking. Der Grund ist praktisch: Ein nicht erkanntes Gesicht oder ein nicht erkanntes Kfz-Kennzeichen bedeutet ein Risiko der Offenlegung personenbezogener Daten. Deshalb werden in Compliance-Prozessen oft konservative Erkennungsschwellen gewählt und anschließend Grenzfälle durch eine manuelle Kontrolle geprüft.
Normative Bezüge und Compliance-Praxis
Die Bewertung biometrischer Systeme bei der Arbeit mit Bild- und Videodaten sollte sich auf Primärquellen stützen. Die wichtigsten Rechtsakte und Dokumente sind:
- Verordnung (EU) 2024/1689 – AI Act, veröffentlicht am 12. Juli 2024,
- Verordnung (EU) 2016/679 – DSGVO, insbesondere Art. 4, Art. 9, Art. 25 und Art. 35,
- Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten durch Videogeräte, angenommen am 29. Januar 2020,
- ISO/IEC 23894:2023 – Leitlinien für das Risikomanagement bei KI,
- ISO/IEC 22989:2022 – Begriffe und Terminologie der KI.
Für die Compliance-Praxis eines Tools zur Unkenntlichmachung von Gesichtern und Kfz-Kennzeichen bedeutet das mehrere Grundsätze. Erstens sollte der Zweck der Verarbeitung auf die Anonymisierung oder Pseudonymisierung visuellen Materials beschränkt werden. Zweitens ist nachzuweisen, dass die KI-Funktion nicht der biometrischen Identifizierung dient. Drittens muss die Kontrolle durch den Operator über schwierige Inhalte erhalten bleiben, etwa bei kleinen Gesichtern im Bild, Bewegung, Spiegelungen oder teilweiser Verdeckung des Objekts.
In diesem Modell erfüllt KI eine unterstützende Funktion für den Datenschutz und ist kein Werkzeug zur Personenidentifizierung. Diese Unterscheidung ist sowohl für die Risikoklassifizierung nach dem AI Act als auch für die Beurteilung der Rechtmäßigkeit der Verarbeitung nach der DSGVO von grundlegender Bedeutung.